ITM-742 Network Security Managementmit.wu.ac.th/mit/images/editor/images/slide.pdfบทนำ...

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

บทนำ คำอธิบายรายวิชา บทที่ 1 เครือข่ายคอมพิวเตอร์เบื้องต้น บทที่ 2 แนวคิดของการจัดการเครือข่าย

ITM-742 Network Security Management

อาจารย์ ดร. ชนันท์กรณ์ จันแดง

สำนักวิชาสารสนเทศศาสตร์ มหาวิทยาลัยวลัยลักษณ์

27 สิงหาคม พ.ศ. 2558

อาจารย์ ดร. ชนันท์กรณ์ จันแดง info@wuITM-742 Network Security Management 1 / 107

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


บทนำคำอธิบายรายวิชา


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


คำอธิบายรายวิชา

พื้นฐานเกี่ยวกับความมั่นคงของเครือข่าย การพัฒนานโยบายเกี่ยวกับความมั่นคงการดูแลด้านความมั่นคงขององค์กร ระบบดูแลด้านความมั่นคงแบบกายภาพสถาปัตยกรรมด้านการจัดการความมั่นคง การพิจารณาออกแบบเครือข่ายสถาปัตยกรรมเกี่ยวกับการควบคุมความถูกต้องและพร้อมใช้งาน บทบาทชองเครือข่ายในด้านความมั่นคงNetwork security foundation; security policy development; securityorganization; physical security; security management architecture;network design consideration; integrity and availability architecture;network role based security.


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


วัตถุประสงค์

▶ เพื่อให้นักศึกษาเข้าใจหลักการของการจัดการเครือข่ายเบื้องต้น▶ เพื่อให้นักศึกษาจัดการเครือข่ายด้วยเครื่องมือต่างๆ ได้แก่ SNMP, Log

Analysis, Traffic Analysis▶ เพื่อให้นักศึกษาเข้าใจหลักการของการจัดการความมั่นคงของเครือข่ายคอม

คอมพิวเตอร์▶ เพื่อให้นักศึกษาเข้าหลักการของกลไกทางด้านความมั่นคงต่างๆ เช่น IDS,

Firewall และวิทยาการเข้ารหัส รวมถึงการออกนโยบายทางด้านความมั่นคงได้


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


หัวข้อบรรยาย

▶ Review of Computer Network▶ Network Management Concept▶ Network Management Tools: SNMP, Log Analysis, Traffic Analysis▶ Network Security Concept▶ Security Mechanisms: Firewall, IDS, Cryptography▶ Security Policy and ISO 27001:2013 standard


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


การประเมิน

วิธีประเมิน ร้อยละเข้าชั้นเรียน บทบาทในห้องเรียน 5%แบบฝึกหัดท้ายบท และกิจกรรมต่างๆ 35%สอบกลางภาค 30%สอบปลายภาค 30%


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


อาจารย์ผู้สอน

▶ อาจารย์ ดร.ชนันท์กรณ์ จันแดง▶ ปร.ด. (วิศวกรรมคอมพิวเตอร์) ม.สงขลานครินทร์▶ ความสนใจ

▶ Computer System and Networking▶ Computer Network Security▶ Ubiquitous Networked Embedded System

▶ [email protected]▶ ห้องทำงาน C3 259


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


บทที่ 1เครือข่ายคอมพิวเตอร์เบื้องต้น


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Inter networking Basics


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


เครือข่ายคอมพิวเตอร์อย่างง่าย

▶ การเชื่อมต่อเครือข่ายท้องถิ่นด้วยฮับ▶ อยู่ภายใต้ collision domain เดียวกัน

▶ หากเกิดการชนกันในเครือข่ายแล้ว ผลการส่งจะแสดงสถานะผิดพลาด ถือว่าการสื่อสารไม่สมบูรณ์


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


การแบ่งเครือข่ายย่อย

▶ เครืองมือที่รองรับการแบ่งเครือข่ายย่อย▶ Routers▶ Switches


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


ความแออัด (Congestion) ของ เครือข่ายแลน

▶ มี xxx มากเกิน▶ collision หรือ broadcast

domain▶ Broadcast Packet▶ Multicast Packet▶ Hub▶ ARP Broadcast

▶ มี xxx น้อยเกิน▶ Bandwidth


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Broadcast Domain


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Internetworking Devices


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


TCP/IP Model


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Protocol Suites : DoD Model


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


TELNET

▶ Telnet เป็นโปรแกรมสารพัดประโยชน์ แต่หน้าหลักๆ คือเป็นโปรแกรมจำลองการทำงานของ terminal

▶ เพื่อใช้สำหรับการ remote จากเครื่องลูกข่ายไปยังเครื่องแม่ข่าย โดยโปรแกรมทางฝั่งเครื่องลูกข่ายเรียกว่า Telent Client ในขณะที่เครื่องให้บริการ telnet เรียกว่า Telent Server ซึ่งเข้าถึงทรัพยากรต่างๆ ผ่านcommand line

▶ โพรโตคอล Telent นั้นประมวลผลอย่างรวดเร็ว แต่มีจุดอ่อนที่สำคัญคือ ไม่มีการเข้ารหัส


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Secure Shell (SSH)

▶ Secure Shell (SSH) protocol สร้างช่องทางสำหรับการสื่อสารไปยังเครื่องให้บริการเช่นเดียวกับ telnet แต่โพรโตคอลได้สร้าง session ทีมีความมั่นคงมากกว่า ผ่าน TCP/IP connection

▶ การสื่อสารเกิดขึ้นผ่านเครือข่ายที่มีการเข้ารหัส encryption


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Secure Shell (SSH)▶ File Transfer Protocol (FTP) ถูกสร้างขึ้นมาเพื่อเป้าหมายหลักในการถ่าย

โอนไฟล์ระหว่างเครื่องคอมพิวเตอร์จำนวน 2 เครื่อง▶ แต่คำว่า ftp ไม่เพียงแต่เป็นโพรโตคอลเท่านัน ยังเป็นชื่อของโปรแกรมแบบ

command line อีกด้วย หากโปรแกรมที่ทำงานแบบ GUI ได้แก่ Filezillalเป็นต้น

▶ นอกจากนี้ FTP ยังสามารถเข้าถึง directory หรือ ไฟล์ต่างๆ รวมถึงการสร้างไฟล์ หรือ directory ต่างๆ ได้

▶ ผู้ใช้จำเป็นต้องตรวจสอบตัวตน (Authentication) ด้วยชื่อบัญชื่อและรหัสผ่าน เพื่อเข้าถึงทรัพยากรต่างๆ

▶ ในกรณีที่ไม่มีชื่อบัญชี บางระบบอนุญาตให้เข้าถึงระบบด้วย anonymous ซึ่งถูกจำกัดสิทธิ์ในการเข้าใช้ทรัพยากร โดยปกติได้รับสิทธิ์แบบอ่านอย่างเดียว


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Hypertext Transfer Protocol (HTTP)

▶ HTTP ใช้สำหรับเข้าถึงทรัพยากรผ่านเว็บไซต์ ซึ่งประกอบด้วยข้อความ ภาพหรือเสียง

▶ ใช้สำหรับการจัดการการสื่อสารระหว่าง เครื่องให้บริการเว็บ และเว็บเบราเซอร์ และเข้าถึงทรัพยากรต่างๆ ตามสิทธิ์ที่มี โดยการคลิก link ต่าง ๆ


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


HTTPS

▶ Hypertext Transfer Protocol Secure (HTTPS) อาจจะเรียกในชื่ออื่นคือSecure Hypertext Transfer Protocol.

▶ คู่สนทนาสร้างช่องทางสื่อสารผ่าน โพรโตคอล Secure Sockets Layer (SSL)▶ มักพบในการสื่อสารในขั้นตอนของการสร้างแบบฟอร์ม เพื่อรับข้อมูลสำคัญใน

การตรวจสอบตัวตน▶ ข้อมูลในระดับของ Application Layer ถูกเข้ารหัส


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


NetworK Time Protocol (NTP)

▶ ใช้สำหรับการ sync นาฬิกาของเครื่องคอมพิวเตอร์ และเครื่องให้บริการให้ตรงตามมาตฐาน

▶ Network Time Protocol (NTP) ทำงานโดย sync กับเครื่องให้บริการใดๆ ที่เชื่อถือได้ว่า เวลานั้นเป็นมาตรฐาน

▶ โดยปกติเวลาถูกใช้สำหรับการการ time และ date stamp เหตุการณ์ต่างๆหรือ กิจกรรมต่างๆ ที่เกิดขึ้น

▶ โดยเฉพาะอย่างยิ่ง Network Monitoring System


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Domain Name System


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Dynamic Host Configuration Protocol (DHCP)

▶ Dynamic Host Configuration Protocol (DHCP) ใช้สำหรับการกำหนดข้อมูลสำหรับสำหรับการสื่อสารข้อมูล หรือเชื่อมต่ออินเทอเน็ต

▶ สนับสนุนการทำงานของผู้ดูแลระบบเครือข่ายได้ง่ายยิ่งขึ้น โดยเฉพาะอย่างยิ่งเครือข่ายที่มีขนาดใหญ่ และมีอุปกรณ์ต่างๆ ที่แตกต่างกัน

▶ DHCP server ใช้ข้อมูลดังนี้▶ IP address, Subnet mask, Domain name, Default gateway (routers),

DNS server address


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Host-to-Host Layer Protocol

▶ Host-to-Host layer เป็นโพรโตคอลที่ลดความซับซ้อนของการทำงานในส่วนของความน่าเชื่อถือของโพรโตคอลในชั้น Application

▶ Transmission Control Protocol (TCP)▶ User Datagram Protocol (UDP)


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Transmission Control Protocol (TCP)

▶ TCP รับ message จากโพรโตคอลระบบบน ซึ่งเป็นข้อมูลขนาดใหญ่ หลังจากนั้น โพรโตคอล TCP จะแบ่งข้อมูลเหล่านั้นออกเป็นส่วนย่อยๆ ซึ่งเรียกว่าsegment

▶ หลังจากนั้น segment เหล่านั้นได้รับการกำหนดหมายเลข เพื่อจัดลำดับของการส่งข้อมูล เพื่อให้เครื่องปลายทาง จัดเรียงข้อมูลเหล่านั้นตามลำดับ

▶ หลังจากที่เครื่องปลายทางได้รับ segment แล้ว จะตอบกลับด้วยหมายเลขAcknowledgement เพื่อร้องขอ segment ต่อไปหากการส่งข้อมูลเสร็จสมบูรณ์


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.



▶ ก่อนการส่งข้อมูล เครื่องไคลเอนต์ เริ่มส่ง segment จาก Layer บน เพื่อ สถาปณา (Establishment) เส้นทางสื่อสาร

▶ กระบวนการทำงานนี้ จะสร้าง virtual circuit ขึ้นมาก่อน และเรียกรูปแบบการสื่อสารแบบนี้ว่า connection oritented

▶ ระหว่างการสร้างช่องทางสื่อสาร initial handshake โพรโตคอลชั้น TCP แลกเปลี่ยน segment ระหว่างกัน ในจำนวนนั้นมร acknowledgment เพื่อยืนยันการส่งข้อมูล ซึ่งเป็นการเพิ่มความน่าเชื่อถือของเครือข่าย (reliablecommunication)


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.



▶ TCP เป็นโพรโตคอลที่สื่อสารแบบ full-duplex,connection-oriented,reliable และ accurate

▶ แต่กระบวนการทำงานเพื่อให้บรรลุวัตถุประสงค์ข้างต้น ภายใต้เงือนไขที่มีกระบวนการตรวจสอบข้อผิดพลาดร่วมด้วยนั้น ไม่ใช่งานเล็กๆ

▶ TCP เป็นโพรโตคอลที่ค่อนข้างทำงานงานซับซ้อน (complicated) ซึ่งส่งผลให้cost ทางการสื่อสารค่อนข้างสูง และส่งผลให้มี network overhead สูง.


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.



▶ ในวันนี้ เครือข่ายคอมพิวเตอร์ มีความน่าเชื่อถือมากกว่าอดีต การเพิ่มกลไกพิเศษเพื่อเพิ่มความน่าเชื่อถือจึงเป็นเรื่องที่ไม่จำเป็น

▶ ผู้พัฒนาโปรแกรมเลือก TCP เนื่องจากต้องการลดความย่งยากในการพัฒนาโปรแกรมใน Layer บน โดยไม่จำเป็นต้องคำนึงถือการตรวจสอบความน่าเชื่อถือของข้อมูล

▶ แต่ในการสื่อสารแบบ realtime เช่น video, VoIP เป็นต้น โพรโตคอล UserDatagram Protocol (UDP) มักจะถูกเลือกมาใช้งานเนื่องจาก overhead ต่ำ


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


TCP Segment Format

▶ Source port : หมายเลขพอร์ตต้นทางถูกสุ่มโดยโปรแกรมจากเครื่องต้นทางเพื่อสร้างช่องทางการสื่อสาร

▶ Destination port : หมายเลขพอร์ตปลายทาง เป็นหมายเลขที่เครื่องให้บริการกำหนดขึ้นมา และแจกจ่ายให้เครื่องลูกข่ายรับทราบ และสร้างเส้นทางมายังเครื่องต้นทางเพื่อร้องข้อข้อมูล

▶ Sequence number เป็นหมายเลขจำนวนเต็มที่ใช้สำหรับเรียงลำดับsegment หรืออ้างอิงในกรณีที่มีการส่งข้อมูลซ้ำ


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


TCP Segment Format

▶ Acknowledgment number ระบุถึง sequence number ตัวถัดไปที่คาดหวังว่าจะได้รับ

▶ Header length เป็นตัวเลขขนาด 32 บิตที่ระบุความยาวของ header▶ Reserved ทุกบิตมีค่าเป็น 0▶ Code bits/flags Controls เป็นชุดของบิตของมูลบอกถึงชนิดของ segment▶ Checksum เป็นการตรวจสอบข้อผิดพลาดของ header และ data โดยวิธี

การ cyclic redundancy check (CRC)อาจารย์ ดร. ชนันท์กรณ์ จันแดง info@wuITM-742 Network Security Management 31 / 107

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


User Datagram Protocol (UDP)

▶ User Datagram Protocol (UDP) เป็นโพรโตคอลที่มีขนาดเล็กมากเมื่อเทียบกับ TCP ซึ่งมักจะเรียกว่า thin protocol

▶ NO sequence ไม่มีการจัดเรียงลำดับของ segment▶ NO Acknowledgment ไม่มีการติดตามผลการส่ง▶ Unreliable communication แต่ไม่ได้หมายความว่า โพรโตคอลนี้ ไม่มี

ประสิทธิภาพ


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


UDP Segment Format

▶ Source port หมายเลขที่บ่งชี้โปรแกรมที่ส่งข้อมูลออกจากเครื่องลูกข่าย▶ Destination port หมายเลขที่บ่งชี้โปรแกรมที่รอรับข้อมูลที่ส่งมา▶ Length ความยาวของ header และ data▶ Checksum เป็นการตรวจสอบข้อผิดพลาดของ header และ data โดยวิธี

การ cyclic redundancy check (CRC)


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Key features of TCP and UDP


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Port Number


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Internet Layer Protocol

▶ Internet Protocol (IP)▶ Internet Control Message Protocol (ICMP)▶ Address Resolution Protocol (ARP)


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


IP

▶ Internet Protocol (IP) เป็นโพรโตคอลที่จำเป็นในชั้นอินเทอร์เน็ต▶ เครื่องคอมพิวเตอร์ทุกเครื่อง ต้องมี logical address หรือ IP Address

▶ IP รับ segment จาก Transport Layer และ แบ่ง (fragment ) segmentเป็นส่วนย่อยเรียกว่า datagrams หรือ packet

▶ IP จะประกอบ datagrams เป็น segment อีกครั้งทางฝ่ายรับ เพื่อส่งกลับขึ้นไปในชั้น ทรานสปอร์ต


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


IP▶ Datagram แต่ละส่วนได้รับการกำหนดหมายเลข IP ของผู้ส่งและผู้รับ▶ อุปกรณ์ router จะพิจารณาเส้นทางในการส่งข้อมูลจาก routing table เพื่อ

เลือกเส้นทางของเครื่องปลาย


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


IP header


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


IP Datagrams

▶ Version หมายเลขรุ่นของโพรโตคอล ซึ่งเป็น 4 หรือ 6▶ Header length ความยาวของ header มีขนาด 32 บิต▶ Priority หรือ Type of Service กำหนดวิธีการจัดการ IP datagram ซึ่ง

เป็นการประกันคุณภาพการสื่อสาร โดยพิจารณาจาก 3 บิตแรก▶ Total length ความยาวของ header และ option โดย มีความยาวระหว่าง

5x4 = 20 ถึง 15x4 = 60 ไบต์อาจารย์ ดร. ชนันท์กรณ์ จันแดง info@wuITM-742 Network Security Management 40 / 107

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


IP Datagrams

▶ Flags บ่งชี้ว่า มีการแบ่ง datagrams หรือไม่▶ Fragment offset เป็นตัวบ่งชึ้ตำแหน่งของ datagram ถูกแบ่ง ซึ่งจะเกิดขึ้น

ในการณีที่ datagrams ยาวเกิน maximum transmission units (MTUs)ของสื่อ

▶ Time To Live (TTL) กำหนดอายุของ datagrams เพื่อป้องกัน datagramsท่วมเครือข่าย โดยค่า TTL จะลดลงทุกครั้งที่ผ่าน router และจะถูกหยุดส่งต่อหาก TTL เป็นศูนย์


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


IP Datagrams

▶ FProtocollags กำหนดหมายเลขของโพรโตคอลที่ใช้สำหรับการสื่อสารเนื่องจาก IP รองรับการส่งโพรโตคอลหลายชนิด เช่น TCP/6 UDP/17 เป็นต้นนอกจากนี้ยังสาสรถใช้ในการส่ง ICMP, ARP และ RARP

▶ Header checksum Cyclic redundancy check (CRC) สำหรับตรวจสอบความผิดพลาดของ header

▶ Source IP address และDestination IP address เลขที่อยู่ขนาด 32 บิตของโฮส


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Protocol Numbers


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


IP Datagrams

▶ Options ใช้สำหรับการทดสอบเครือข่าย การหาข้อบกพร้อง หรือ ใช้เพือ่ความมั่นคงของเครือข่าย

▶ Data ส่วนของโพรโตคอลชั้นบน


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


ICMP

▶ Internet Control Message Protocol (ICMP)▶ IP for many different services.▶ ICMP is basically a management protocol and messaging service

provider for IP.▶ Its messages are carried as IP datagrams.▶ ICMP packets have the following characteristics:

▶ They can provide hosts with information about network problems.▶ They are encapsulated within IP datagrams.


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


ICMP error message


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Address Resolution Protocol (ARP)


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


IP Addressing


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Private IP


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Ethernet


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Ethernet

▶ อีเธอเน็ต (Ethernet) เป็นโพรโตคอลที่โฮสใช้สำหรับการเข้าถึงสื่อ มีมีการแชร์ช่องทางสื่อสารกัน ในปัจจุบันเทคโนโลยีของอีเทอร์เน็ตพัฒนาอย่างกว้างขวาง

▶ Standard -> Fast -> Gigabit Ethernet▶ โพรโตคอลอีเทอร์เน็ตใช้ทั้งชั้น data link และ physical


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Collisoin Domain


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


A typical Network today


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Broadcast Domain


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Ethernet at the Data Link Layer

▶ Ethernet Addressing▶ Physical address, MAC Address


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Ethernet Frame

Data Link มีหน้าที่▶ รวมข้อมูลระดับบิตให้เป็นไบต์ และไบต์เป็นเฟรม (frame)▶ ซ่อน (encapsulation) แพ็คเก็ตที่มาจาก network layer และส่งไปยังเครื่อง

ผลายทางผ่าน media


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Ethernet Frame

▶ Preamble เป็นบิต 1 และ 0 สลับกันเพื่อแจ้งฝ่ายรับว่า ต้นเฟรมกำลังจะมาถึงและให้ฝ่ายรับเตรียมหน่วยความจำเพื่อรับข้อมูล

▶ Start Frame Delimiter (SFD)Synch เมื่อ preamble จำนวน 7 ไบต์ถูกส่งมาถึง bit pattern รอบสุดท้าย ซึ่งเรียกว่า SFD มีรูปแบบเป็น 10101011เพื่อแจ้งให้เริ่มอ่านข้อมูลในไบต์ต่อไป


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Ethernet Frame

▶ Destination Address (DA) เป็นเลขที่อยู่ขนาด 48 บิต แสดงผลแบบ leastsignificant bit (LSB) โดยที่ DA เป็นตัวกำหนดหมายเลขของ NIC Card ที่เป็นเครื่องเป้าหมาย ในกรณีที่เป็นการส่งแบบ broadcast แล้ว DA จะถูกกำหนดเป็น 1 ทุกบิต

▶ Source Address (SA) เป็นเลขที่อยู่ขนาด 48 บิต ซึ่งบ่งบอกถึงโหลดต้นทางที่ส่งเฟรมมายังเครื่องปลายทาง


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Ethernet Frame

▶ Length or Type 802.3 มีหน้าที่ 2 ประการ 1) บอกถึงความยาวของpayload หรือ 2) กำหนดชนิดของ payload หากข้อมูลของฟิลด์นี้มีค่ามากกว่า 0x8000 แสดง ค่านั้นเป็น Type

▶ Data ส่วนของ payload ที่โพรโตคอลระดับบนส่งลง ขนาดอยู่ในช่วง46-1500 ไบต์


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Ethernet at Physical Layer

Ethernet standard▶ 10Base-T▶ 100Base-TX▶ 100Base-FX▶ 1000Base-T▶ …


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Ethernet at Physical LayerEthernet Cabling


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Data EncapsulationProtocol Data Unit (PDU)


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


PDU and Unit


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Three Layer Hierarchical Model


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


บทที่ 2แนวคิดของการจัดการเครือข่าย


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Network Management

▶ การเฝ้าระวังการทำงานของ (System & Service Monitoring)▶ สามารถเข้าถึงระบบ(Reachable) และระบบต้องพร้อมใช้ตลอดเวลา

(Available)▶ ประเมินและเฝ้าระวัง ทรัพยากร (Resource Measurement/Monitoring)

▶ วางแผนการใช้ทรัพยากร (Capacity Planning) เพื่อให้มีทรัพยากรพร้อมใช้▶ Performance Monitoring

▶ Throughput


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Network Management

▶ จัดการการใช้งานเชิงสถิติและบัญชีผู้ใช้ (Statistics & Accounting/Metering)▶ จัดการความผิดพลาดที่เกิดขึ้น (Fault Management) : Fault Detection,

Troubleshooting และ Tracking▶ การจัดการกับการเปลี่ยนและปรับแต่ง (Change management and

Configuration monitoring)


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


ความจำเป็นของระบบ Network Monitoring

▶ เพื่อสร้างความมั่นใจว่าเครือข่ายสามารถทำงานอย่างเสถียร เราจึงต้องเฝ้าดูการทำงานของเครือข่ายตลอดเวลา

▶ เพื่อให้ระบบยังคงทำงานตาม Service Level Agreements ขององค์กร


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.




▶ ซึ่งขึ้นอยู่กับ Policy ขององค์กรนั้นๆ▶ โดยตระหนักถึงความคาดหวังของผู้ดูแลระบบ▶ ความคาดหวังของผู้ใช้▶ ความคาดหวังของลูกค้า▶ ปริมาณ traffic ของเครือข่ายที่เราคาดหวัง


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.




▶ เครือข่ายสามารถทำงานได้ตลอดเวลา 24x7 ถือว่าดีหรือไม่▶ ไม่มีระบบใดๆ ที่สามารถทำงานได้ตลอดเวลา หรือ uptime 100%

▶ ถ้า Uptime ของระบบเป็น 99.99% หมายความว่า▶ 30 วัน x 24 ชม = 720 ชั่วโมง▶ หากระบบ down ไป 0.01% หมายความว่าระบบ down ไป

(720− (720x0.9999))x60 = 4.32 นาที▶ ถ้าต้อง shutdown ระบบเป็นเวลา 1 ชมต่อ 1 เดือนแล้ว ระบบจะ down ลง

▶ 100x719/720 = 99.86%


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.



▶ บางครั้งต้องการทราบข้อมูลบางอย่าง ได้แก่▶ การใช้งานแบนวิธด์ของเครือข่ายสูงไปหรืเไม่▶ ข้อมูลจราจรเป็นอย่างไร▶ จำเป็นต้องลงทุนโดยการเพิ่มความเร็วของสายหรือไม่▶ อุปกรณ์ต่างๆ เก่าไปหรือไม่


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.



▶ ต้องการเก็บหลักฐานการเปลี่ยนแปลง ได้แก่▶ รายงานการแก้ไขระบบ หรือการเหตุการณ์ต่างๆ ที่เกิดขึ้นในระบบ▶ เพื่อสนับสนุนในการหาสาเหตุของปัญหา ส่งผลให้การปรับปรุงระบบหรือปรับ

แต่งได้ง่ายขึ้น▶ มีระบบใดที่สามารถรวมความต้องการข้างต้นได้

▶ Network Management System (NMS)


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Simple Network Management Tools


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Tools

▶ ICMP▶ SNMP▶ Telnet/SSH▶ Window Management Instrument (WMI)


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Network Management Protocol

▶ โพรโตคอลจัดการเครือข่ายพื้นฐานที่นิยมใช้งานได้แก่▶ Internet Control Message Protocol (ICMP)▶ Simple Network Management Protocol (SNMP)

▶ โพรโตคอลทั้งสองนี้ เป็นการทำงานที่ค่อนข้างให้ผลการทำงานที่เร็วที่สุด▶ เป็นโพรโตคอลที่มีประโยชน์สูง ในการวิเคราะห์หาสาเหตุและจัดการปัญหา

เครือข่าย


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


ICMP

▶ โพรโตคอล ICMP เป็นโพรโตคอลอินเทอร์เน็ตซึ่งเป็นหัวใจหลักของการจัดการเครือข่าย

▶ ใช้สำหรับส่ง error message▶ ใช้สำหรับส่งคำสั่งควบคุม

▶ แต่ไม่มีการขนถ่ายข้อมูลใดๆ เน้นการแจ้งสถานะของเครือข่าย


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


ICMP

▶ การจัดการเครือข่าย มีการใช้ ICMP ในงานหลายๆ งานได้แก่▶ หาความผิดพลาดของของช่องทางสื่อสาร▶ เครื่องปลายทางยังคงทำงานตามปกติหรือไม่▶ เครือข่ายแออัดหรือ delay มากน้อยเพียงใด


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


ICMP


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


SNMP

▶ SNMP เป็นโพรโตคอลที่ก้าวล้ำมากกว่า ICMP▶ SNMP ให้ข้อมูลเชิงลึกได้มากกว่า ICMP โดยร้องขอข้อมูลจากอุปกรณ์เครือข่าย

หรือ network service ที่เกี่ยวข้อง▶ SNMP ถูกใช้มากอย่างช้านาน และใช้อย่างกว้างขวาง ซึ่งมักจะติดตั้งอยู่ในอุปก

รณ์ทุกๆ device


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


SNMP

▶ SNMP จัดเก็บข้อมูลไว้ในฐานข้อมูลเฉพาะซึ่งจัดเก็บอยู่ในอุปกรณ์ โดยเก็บไว้ใน MIB (Management Information Base) เพื่อรอการร้องขอข้อมูล

▶ SNMP trap เป็นการกำหนดให้ อุปกรณ์เครือข่าย ส่งข้อความหรือ messageจากอุปกรณ์มายัง NMS โดยตรง โดยไม่ต้องรอการร้องข้อ แต่จะส่งข้อความกลับมาในกรณีมีเหตุการณ์ตรงกันกับ trap ที่วางไว้

▶ SNMP traps ต่างจาก SNMP Query ที่ อุปกรณ์เป็นผู้เริ่มส่งข้อมูลเพื่อเกิดเหตุการณ์ ในขณะที่ SNMP Query เกิดขึ้น


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


SNMP Query


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


SNMP Trap


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


ICMP vs SNMP

▶ เมื่อเปรียบเทียบ SNMP กับ ICMP แล้วพบว่า▶ ICMP เหมาะสำหรับการตรวจสอบสถานะของเครือข่าย▶ SNMP เหมาะสำหรับการจัดเก็บข้อมูลเชิงลึกของเครือข่าย

▶ SNMP จะสร้างภาระให้กับเครือข่ายมากกว่า เมื่อเทียบกับ ICMP


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Syslog

▶ เป็นมาตรฐานสำหรับการบันทึกกิจกรรมต่างๆ ได้แก่ error messages,warning messages หรือ system messages อื่นๆ

▶ มักจะใช้สำหรับจัดเก็บของระบบแล้วส่งต่อไปยัง NMS เพื่อการวิเคราะห์ เช่นSwitches, routers, firewalls เป็นต้น


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Syslog

จุดเด่นของ Syslog▶ event driven เป็นระบบการบันทึกอัตโนมัติ เพื่อคอยสนับสนุนระบบการ

วิเคราะห์ตามเป้าหมายของ log นั้นๆ▶ เป็นข้อมูลสำหรับการตอบสนองเหตุการณ์ต่างๆ ที่เกิดขึ้น▶ สามารถใช้ประโยชน์ในการตรวจสอบกิจกรรมอื่นๆ ที่ต้องการในระบบ


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


WMI

▶ RPC traffic ที่เก็บข้อมูลที่มีการแทนด้วยภาษาระดับสูง ง่ายต่อการเข้าถึง▶ มีเฉพาะระบบปฏิบัติการ Window▶ หลักการทำงานคล้ายคลึงกับ SNMP ซึ่งใช้ร้องขอข้อมูล และตอบกลับโดย

เครื่องให้บริการ


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Network Management Model


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


OSI Management Model


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


OSI Model

Organisation Model▶ Network management components▶ Functions of components▶ Relationships


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


OSI Model

Information model▶ Structure of Management Information (SMI)▶ Syntax and semantics▶ Management Information Base (MIB)▶ Organisation of management information


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


OSI Model

Communication model▶ Transfer syntax with bi-directional messages▶ Transfer structure (PDU)


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


OSI Model

Functional model▶ Performance management▶ Fault management▶ Configuration management▶ Account Management▶ Security Management


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Organisation Model

Manager▶ Sens requests to agents▶ Monitors alarms▶ Houses applications▶ Providers user interface


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Organisation Model

Agent▶ Gathers information from objects▶ Configures parameters of objects▶ Responses to managers’ requests▶ Generates alarms and sends them to managers


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Organisation Model

Managed Object▶ Network element that is managed▶ All objects are not managed/manageable


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Organisation Model

Managed object can be▶ Network elements (hardware, system) : Hubs, bridges, routers,

transmission facilities▶ Software (non-physical) : Programs, algorithms▶ Administrative information : Contact person


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Two-Tier Organisation Model▶ Agent built into network

element; e.g. Managed hub,managed router.

▶ An agent can handlemultiple elements; e.g.Switched hub, ATM switch

▶ MDB is a physical database▶ Unmanaged objects are

network elements that arenot managed-both physical(unmanaged hub) and logical(passive elements)


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Functional Model


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Fault Management

▶ The facilities that enable the detection, isolate, and correction ofabnormal operation of the OSI environment


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Fault Management

▶ What is “a fault”?▶ An abnormal condition that requires management attention (or

action) to repair▶ Indicated by failure to operate correctly or by excessive errors

▶ Communication line is cut▶ Certain errors may occur occasionally and are not normally

considered to be faults


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Fault Management

When a fault occurs▶ Determine “exactly” where the fault is isolate the rest of the

network from the failure▶ Reconfigure or modify the network to minimise the impact of

operation▶ Repair or replace the failed components


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Fault Management

Requirement of FM▶ Fast and reliable problem resolution▶ Receive notification and correct the problem immediately▶ Requires rapid and reliable fault detection an detection and

diagnostic management


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Fault Management

Requirement of FM▶ Keep informed of the network status▶ Reassurance of correct network operation through mechanisms

that use tests or analyze dumps, logs, alerts, or statistics▶ Problem tracking and control▶ Ensure the problem is truly resolved and no new problems are

introduced▶ Fault management should have minimal effect on network

performance


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.


Performance Management

▶ The facilities needed to evaluate▶ The behaviour of managed objects▶ The effectiveness go communication activities


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.



Functions of performance management▶ Monitoring

▶ Tracks activities on the network▶ Controlling

▶ Enables performance management to make adjustments toimprove network performance


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.



Issue of PM▶ What is the level of capacity utilisation?▶ Is there excessive traffic?▶ Has throughput been reduced to unacceptable levels?▶ Are there bottlenecks?▶ Is response time increasing?


...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.

...

.



Requirement of Pm▶ End user want to know

▶ The average and worst case response times▶ The reliability of network services

▶ Performance statistics can help managers▶ Plan, manage and maintain large networks▶ Recognise potential bottlenecks in advance : Balance or

redistributed traffic load by changing routing tables


ITM-742 Network Security Managementmit.wu.ac.th/mit/images/editor/images/slide.pdfบทนำ...

Documents

Transcript of ITM-742 Network Security Managementmit.wu.ac.th/mit/images/editor/images/slide.pdfบทนำ...